Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> Ataki na apache
qdesigner
post 10.10.2010, 16:58:30
Post #1





Grupa: Zarejestrowani
Postów: 27
Pomógł: 1
Dołączył: 18.11.2008

Ostrzeżenie: (0%)
-----

Witam!

Mam pytanie jak mogę zatrzymać następujące ataki na serwer:

oto log apache:

83.30.4.216 - - [10/Oct/2010:16:56:23 +0200] "GET /adres zakładki HTTP/1.0" 500 876 "-" "ApacheBench/2.3"

prosiłbym o szybką radę gdyż jakiś idiota zajeżdża mi serwer.

VPS stoi na Directadminie.

Z góry dziękuję za odpowiedzi.

pozdrawiam


--------------------
przewozy autokarowe - wynajem autokarów.
Wodzirej na wesele śląsk - Polecam świetnego DJ-a na wesele
Go to the top of the page
+Quote Post
yevaud
post 10.10.2010, 18:17:00
Post #2





Grupa: Zarejestrowani
Postów: 471
Pomógł: 89
Dołączył: 29.07.2008
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

dodaj jego IP w sekcji deny
Go to the top of the page
+Quote Post
fiszol
post 12.10.2010, 13:37:39
Post #3





Grupa: Zarejestrowani
Postów: 449
Pomógł: 16
Dołączył: 25.05.2004
Skąd: Gorzów Wlkp.

Ostrzeżenie: (0%)
-----

Podepne się do tematu. Mojego Apache coś szpieguje, tj stara się trafić w istniejące skrypty instalacji itp. Na przykład:
Cytat
87.120.102.82 - - [10/Oct/2010:07:36:47 +0200] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:36:48 +0200] "GET /admin/phpMyAdmin/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/sysadmin/main.php HTTP/1.0" 404 221
87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/sqladmin/main.php HTTP/1.0" 404 221
87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/db/main.php HTTP/1.0" 404 215
87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/web/main.php HTTP/1.0" 404 216
87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/pMA/main.php HTTP/1.0" 404 216
87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/main.php HTTP/1.0" 404 212
87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/mysql/main.php HTTP/1.0" 404 218
87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/myadmin/main.php HTTP/1.0" 404 220
87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/webadmin/main.php HTTP/1.0" 404 221
87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/sqlweb/main.php HTTP/1.0" 404 219
87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/websql/main.php HTTP/1.0" 404 219
87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/webdb/main.php HTTP/1.0" 404 218
87.120.102.82 - - [10/Oct/2010:07:36:52 +0200] "GET /admin/mysqladmin/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/mysql-admin/main.php HTTP/1.0" 404 224
87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/phpmyadmin2/main.php HTTP/1.0" 404 224
87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/php-my-admin/main.php HTTP/1.0" 404 225
87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 229
87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 229
87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 229
87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 229
87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 229
87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 229
87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 233
87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 233
87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 229
87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 233
87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 233
87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/padmin/main.php HTTP/1.0" 404 219
87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/datenbank/main.php HTTP/1.0" 404 222
87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/database/main.php HTTP/1.0" 404 221
87.120.102.82 - - [10/Oct/2010:07:36:59 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 403 221
87.120.102.82 - - [10/Oct/2010:07:36:59 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 404 217
87.120.102.82 - - [10/Oct/2010:07:36:59 +0200] "GET /db/main.php HTTP/1.0" 404 209
87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /web/main.php HTTP/1.0" 404 210
87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /PMA/main.php HTTP/1.0" 404 210
87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /admin/main.php HTTP/1.0" 404 212
87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /mysql/main.php HTTP/1.0" 404 212
87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /myadmin/main.php HTTP/1.0" 404 214
87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /webadmin/main.php HTTP/1.0" 404 215
87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /sqlweb/main.php HTTP/1.0" 404 213
87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /websql/main.php HTTP/1.0" 404 213
87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /webdb/main.php HTTP/1.0" 404 212
87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /mysqladmin/main.php HTTP/1.0" 404 217
87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /mysql-admin/main.php HTTP/1.0" 404 218
87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 218
87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /php-my-admin/main.php HTTP/1.0" 404 219
87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:37:06 +0200] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 227
87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 227
87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 223
87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 227
87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 227
87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /padmin/main.php HTTP/1.0" 404 213
87.120.102.82 - - [10/Oct/2010:07:37:08 +0200] "GET /datenbank/main.php HTTP/1.0" 404 216
87.120.102.82 - - [10/Oct/2010:07:37:08 +0200] "GET /database/main.php HTTP/1.0" 404 215

oraz
Cytat
41.197.20.10 - - [10/Oct/2010:20:19:37 +0200] "GET /install.txt HTTP/1.1" 404 209
41.197.20.10 - - [10/Oct/2010:20:19:38 +0200] "GET /cart/install.txt HTTP/1.1" 404 214
41.197.20.10 - - [10/Oct/2010:20:19:38 +0200] "GET /zencart/install.txt HTTP/1.1" 404 217
41.197.20.10 - - [10/Oct/2010:20:19:39 +0200] "GET /zen-cart/install.txt HTTP/1.1" 404 218
41.197.20.10 - - [10/Oct/2010:20:19:40 +0200] "GET /zen/install.txt HTTP/1.1" 404 213
41.197.20.10 - - [10/Oct/2010:20:19:40 +0200] "GET /shop/install.txt HTTP/1.1" 404 214
41.197.20.10 - - [10/Oct/2010:20:19:41 +0200] "GET /butik/install.txt HTTP/1.1" 404 215
41.197.20.10 - - [10/Oct/2010:20:19:42 +0200] "GET /zcart/install.txt HTTP/1.1" 404 215
41.197.20.10 - - [10/Oct/2010:20:19:42 +0200] "GET /shop2/install.txt HTTP/1.1" 404 215
41.197.20.10 - - [10/Oct/2010:20:19:43 +0200] "GET /catalog/install.txt HTTP/1.1" 404 217
41.197.20.10 - - [10/Oct/2010:20:19:43 +0200] "GET /boutique/install.txt HTTP/1.1" 404 218
41.197.20.10 - - [10/Oct/2010:20:19:44 +0200] "GET /cart/install.txt HTTP/1.1" 404 214
41.197.20.10 - - [10/Oct/2010:20:19:45 +0200] "GET /store/install.txt HTTP/1.1" 404 215


i jeszcze to:
Cytat
222.73.227.18 - - [11/Oct/2010:23:30:01 +0200] "GET /roundcube//bin/msgimport HTTP/1.1" 404 222
222.73.227.18 - - [11/Oct/2010:23:30:03 +0200] "GET /rc//bin/msgimport HTTP/1.1" 404 215
222.73.227.18 - - [11/Oct/2010:23:30:04 +0200] "GET /mss2//bin/msgimport HTTP/1.1" 404 217
222.73.227.18 - - [11/Oct/2010:23:30:05 +0200] "GET /mail//bin/msgimport HTTP/1.1" 404 217
222.73.227.18 - - [11/Oct/2010:23:30:05 +0200] "GET /mail2//bin/msgimport HTTP/1.1" 404 218
222.73.227.18 - - [11/Oct/2010:23:30:06 +0200] "GET /roundcubemail//bin/msgimport HTTP/1.1" 404 226
222.73.227.18 - - [11/Oct/2010:23:30:07 +0200] "GET /rms//bin/msgimport HTTP/1.1" 404 216
222.73.227.18 - - [11/Oct/2010:23:30:08 +0200] "GET /webmail2//bin/msgimport HTTP/1.1" 404 221
222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /wm//bin/msgimport HTTP/1.1" 404 215
222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /bin/msgimport HTTP/1.1" 404 211
222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /roundcubemail-0.1//bin/msgimport HTTP/1.1" 404 230
222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /roundcubemail-0.2//bin/msgimport HTTP/1.1" 404 230
222.73.227.18 - - [11/Oct/2010:23:30:31 +0200] "GET /roundcube-0.1//bin/msgimport HTTP/1.1" 404 226
222.73.227.18 - - [11/Oct/2010:23:30:32 +0200] "GET /roundcube-0.2//bin/msgimport HTTP/1.1" 404 226
222.73.227.18 - - [11/Oct/2010:23:30:33 +0200] "GET /round//bin/msgimport HTTP/1.1" 404 218
222.73.227.18 - - [11/Oct/2010:23:30:34 +0200] "GET /cube//bin/msgimport HTTP/1.1" 404 217


Wiem już że mogę dodać te ip do deny, chociaż i tak raczej nigdy w nic nie trafią. Interesuje mnie natomiast co to za roboty są, co robią jak uda im się trafić jakimś urlem i jak zabezpieczyć się na przyszłość przed podobnymi narzędziami. Ktoś przecież może napisać robota który będzie sprawdzał nie tylko podane urle ale może tak długo kombinować kilku znakowe stringi że wkońcu dostanie coś innego w zwrocie niż 404 ;p

Ten post edytował fiszol 12.10.2010, 13:41:31


--------------------
\o/
Go to the top of the page
+Quote Post
erix
post 12.10.2010, 16:11:05
Post #4





Grupa: Moderatorzy
Postów: 15 467
Pomógł: 1451
Dołączył: 25.04.2005
Skąd: Szczebrzeszyn/Rzeszów
Cytat
Interesuje mnie natomiast co to za roboty są, co robią jak uda im się trafić jakimś urlem i jak zabezpieczyć się na przyszłość przed podobnymi narzędziami.

Co robią? Szukają dziur w sofcie, aby podpiąć swój malware.

Zabezpieczenie będzie ciężkie; trzeba poszukać plików-definicji do tego typu skanerów i na ich podstawie próbować.


--------------------

ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!
Go to the top of the page
+Quote Post
qdesigner
post 13.10.2010, 10:34:20
Post #5





Grupa: Zarejestrowani
Postów: 27
Pomógł: 1
Dołączył: 18.11.2008

Ostrzeżenie: (0%)
-----

Jeszcze raz zapytam jak mogę zablokować połączenia typu

83.30.7.79 - - [13/Oct/2010:10:36:22 +0200] "GET /adres_zakładki.php HTTP/1.0" 500 876 "-" "ApacheBench/2.3"

Pojawia się ich kilkaset w przeciągu kilkunastu sekund. Powoduje to chwilowe zapchanie apache.

Dodam że porady typu "zablokuj IP z którego połączenia pochodzą" są nieskuteczne gdyż ataki pochodzą z różnych IP.

Jednego dnia 83.30.7.79 a następnego 83.30.4.216.

Chyba ten idiota pseudo haker jest dzieckiem neostrady i blokowanie po IP nie przyniesie skutku.

Gdzie można zgłosić takie ataki? Czy zajmuje się tym policja? W końcu nikt w internecie nie jest anonimowy.

Pozdrawiam.

gdesigner


--------------------
przewozy autokarowe - wynajem autokarów.
Wodzirej na wesele śląsk - Polecam świetnego DJ-a na wesele
Go to the top of the page
+Quote Post
ARJ
post 13.10.2010, 12:24:44
Post #6





Grupa: Zarejestrowani
Postów: 453
Pomógł: 22
Dołączył: 20.09.2004
Skąd: Kraków - NH -

Ostrzeżenie: (0%)
-----

spróbuj blokowania po User Agent. http://httpd.apache.org/docs/2.2/howto/access.html#env punkt "Access control by environment variable".
możesz też spróbować użyć mod_security.


--------------------
Warsztat: Windows 7 Pro 64bit | Apache 2.2 | PHP 5.2 | MySQL 5.0 | PHPmyadmin 2.6.4
Go to the top of the page
+Quote Post
thek
post 13.10.2010, 13:30:19
Post #7





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D
RIPE.net, wpisz podany IP w chwili ataku i ślij na podany abuse z dokładnymi informacjami na temat działań ze strony atakującego. Kawałki logów powinny im powiedzieć, że chodzi tu wybitnie o działanie szkodliwe. Ogólnie napisz tyle ile wiesz i licz, że się odezwą z odpowiedzią, która załatwia sprawę cwaniaka. Ale z reakcją bywa różnie, więc jakby co, to po swojej stronie też kombinuj ze sprawdzaniem danych jakie dostajesz przy połączeniu, w tym user-agent. Są w necie adresy IP spammerów, które możesz z pnia wycinać na htaccess-ie i to może też trochę pomóc.

Podobnie spammerów można z IM wycinać. Jeśli na jakiś komunikator dostaję info z linkiem to wyłapuję skąd adres, gdzie abuse lub hostingodawca jest i rozmawiam sobie z adminami lub supportem. Nie dalej jak 2 miechy temu tak zablokowałem działalność spamerską jednego kolesia. W 2-3 godziny od otrzymania wiadomości. Pokątnie udostępniono mu na stronkę miejsce i potem właściciel hostingu mnie mailowo przepraszał, a reklamowaną stronę od razu zdjęto z sieci. Tak więc da się jeśli ktoś chce i wie co robić.


--------------------
Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
Go to the top of the page
+Quote Post
qdesigner
post 26.10.2010, 14:57:06
Post #8





Grupa: Zarejestrowani
Postów: 27
Pomógł: 1
Dołączył: 18.11.2008

Ostrzeżenie: (0%)
-----

Witam.
Dziękuję za odpowiedzi.

mod_security jest aktywny i niestety nic nie dał. Dzisiaj włączyłem blokowanie przez User Agent i zobaczę co się będzie działo.

Uruchomiłem również mod_limitipconn .

Zobaczę jak to się rozwinie. Nie sądzę aby był to jakiś typowy spamer. Wydaje mi się, że to działanie konkurencji. No nic zobaczymy

Pozdrawiam.

qdesigner


Edit:

Blokowanie poprzez User Agent pomogło odciążyć serwer Apache. A zgłoszenie ataków do właściciela adresu IP (firmy TP s.a.) poskutkowało zaprzestaniem ataków.

Ktoś się po prostu za dużo filmów amerykańskich naoglądał i myślał że jest wielkim hakerem, a dodatkowo ma neta z neostrady gdzie może zmieniać co chwile IP. Dziecinada.

Dziękuję za wszelkie sugestie.

Pozdrawiam

Qdesigner

Ten post edytował qdesigner 26.10.2010, 14:57:48


--------------------
przewozy autokarowe - wynajem autokarów.
Wodzirej na wesele śląsk - Polecam świetnego DJ-a na wesele
Go to the top of the page
+Quote Post
« Następny starszy · Serwery WWW · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 27.04.2024 - 14:18
Powered By IP.Board © 2024  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn